CWE-450БазаЧерновик
Множественные интерпретации ввода в пользовательском интерфейсе
Пользовательский интерфейс допускает множественные интерпретации вводимых пользователем данных, однако не запрашивает у пользователя подтверждение в случае выбора менее безопасной интерпретации.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2024-25858В Foxit PDF Reader до 2024.1 и PDF Editor до 2024.1 выполнение кода через JavaScript могло произойти из-за неоптимизированного сообщения с запросом для пользователей для проверки параметров команд.
CVE-2025-8039В некоторых случаях условия поиска сохранялись в адресной строке даже после перехода со страницы поиска. Это затрагивает Firefox < 141, Firefox ESR < 140.1, Thunderbird < 141 и Thunderbird < 140.1. Источники: [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1970997
- [2] https://www.mozilla.org/security/advisories/mfsa2025-56/
- [3] https://www.mozilla.org/security/advisories/mfsa2025-59/
- [4] https://www.mozilla.org/security/advisories/mfsa2025-61/
- [5] https://www.mozilla.org/security/advisories/mfsa2025-63/
Источники:
- [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1970997
- [2] https://www.mozilla.org/security/advisories/mfsa2025-56/
- [3] https://www.mozilla.org/security/advisories/mfsa2025-59/
- [4] https://www.mozilla.org/security/advisories/mfsa2025-61/
- [5] https://www.mozilla.org/security/advisories/mfsa2025-63/
CVE-2023-23598Из-за использования кодом-оберткой GTK Firefox текста/обычного текста для перетаскивания данных и обработки GTK всех MIME-типов текста/обычного текста, содержащих URL-адреса файлов, как перетаскиваемых, веб-сайт может произвольно читать файл с помощью вызова <code>DataTransfer.setData</code>. Эта уязвимость затрагивает Firefox < 109, Thunderbird < 102.7 и Firefox ESR < 102.7.
CVE-2024-0450Проблема была обнаружена в модуле `zipfile` CPython, затрагивающая версии 3.12.1, 3.11.7, 3.10.13, 3.9.18 и 3.8.18 и более ранние.
Модуль zipfile уязвим для zip-бомб “quoted-overlap”, которые используют формат zip для создания zip-бомбы с высоким коэффициентом сжатия. Исправленные версии CPython заставляют модуль zipfile отклонять zip-архивы, которые перекрывают записи в архиве.
CVE-2024-7529Выбор даты мог частично скрывать запросы безопасности. Это могло быть использовано злонамеренным сайтом, чтобы обманом заставить пользователя предоставить разрешения. Эта уязвимость затрагивает Firefox < 129, Firefox ESR < 115.14, Firefox ESR < 128.1, Thunderbird < 128.1 и Thunderbird < 115.14.
CVE-2023-5732Атакующий мог создать вредоносную ссылку, используя двунаправленные символы для подделки адреса в адресной строке при посещении. Эта уязвимость затрагивает Firefox < 117, Firefox ESR < 115.4 и Thunderbird < 115.4.1.
CVE-2022-20863Уязвимость в интерфейсе обмена сообщениями Cisco Webex App, ранее Webex Teams, может позволить не прошедшему проверку подлинности удаленному злоумышленнику манипулировать ссылками или другим контентом в интерфейсе обмена сообщениями. Эта уязвимость существует из-за того, что затронутое программное обеспечение неправильно обрабатывает отрисовку символов. Злоумышленник может воспользоваться этой уязвимостью, отправив сообщения в интерфейсе приложения. Успешная эксплуатация может позволить злоумышленнику изменить отображение ссылок или другого контента в интерфейсе, что потенциально позволит злоумышленнику проводить фишинговые атаки или атаки с подменой данных.
CVE-2021-1242Уязвимость в Cisco Webex Teams может позволить не прошедшему проверку подлинности удаленному злоумышленнику манипулировать именами файлов в интерфейсе обмена сообщениями. Уязвимость существует из-за того, что уязвимое программное обеспечение неправильно обрабатывает отображение символов. Злоумышленник может воспользоваться этой уязвимостью, поделившись файлом в интерфейсе приложения. Успешная эксплуатация может позволить злоумышленнику изменить способ отображения имени общего файла в интерфейсе, что может позволить злоумышленнику проводить фишинговые атаки или атаки с подменой.